O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurando o AWS KMS

10/21/2024 Colaboradores

PDFs

Se você quiser usar a criptografia da Amazon com o Cloud Volumes ONTAP, precisará configurar o Serviço de Gerenciamento de chaves da AWS (KMS).

Passos

Certifique-se de que existe uma chave mestra do cliente (CMK) ativa.

O CMK pode ser um CMK gerenciado pela AWS ou um CMK gerenciado pelo cliente. Ele pode estar na mesma conta da AWS que o BlueXP e o Cloud Volumes ONTAP ou em uma conta diferente da AWS.

"Documentação da AWS: Chaves mestras do cliente (CMKs)"
Modifique a política de chave para cada CMK adicionando a função do IAM que fornece permissões ao BlueXP como um usuário-chave.

Adicionar a função do IAM como um usuário-chave dá permissões ao BlueXP para usar o CMK com Cloud Volumes ONTAP.

"Documentação da AWS: Editando chaves"
Se o CMK estiver em uma conta AWS diferente, execute as seguintes etapas:
1. Vá para o console do KMS a partir da conta onde o CMK reside.
2. Selecione a tecla .
3. No painel General Configuration (Configuração geral), copie o ARN da chave.
  
  Você precisará fornecer o ARN ao BlueXP ao criar o sistema Cloud Volumes ONTAP.
4. No painel outras contas da AWS, adicione a conta da AWS que fornece permissões ao BlueXP .
  
  Na maioria dos casos, essa é a conta onde o BlueXP reside. Se o BlueXP não fosse instalado na AWS, seria a conta para a qual você forneceu as chaves de acesso da AWS ao BlueXP .
5. Agora mude para a conta da AWS que fornece permissões ao BlueXP e abra o console do IAM.
6. Crie uma política do IAM que inclua as permissões listadas abaixo.
7. Anexe a política à função do IAM ou ao usuário do IAM que fornece permissões ao BlueXP .
  
  A política a seguir fornece as permissões que o BlueXP precisa para usar o CMK da conta externa da AWS. Certifique-se de modificar a região e o ID da conta nas seções "recurso".
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
            ]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```
+
Para obter mais detalhes sobre este processo, consulte o "Documentação da AWS: Permitindo que usuários de outras contas usem uma chave KMS".
Se você estiver usando um CMK gerenciado pelo cliente, modifique a política-chave para o CMK adicionando a função do IAM do Cloud Volumes ONTAP como um key user.

Essa etapa é necessária se você habilitar a disposição em camadas de dados no Cloud Volumes ONTAP e quiser criptografar os dados armazenados no bucket do S3.

Você precisará executar esta etapa depois você implantar o Cloud Volumes ONTAP porque a função do IAM é criada quando você cria um ambiente de trabalho. (Claro, você tem a opção de usar uma função existente do Cloud Volumes ONTAP IAM, então é possível executar essa etapa antes.)

"Documentação da AWS: Editando chaves"

Configurando o AWS KMS

Creating your file...